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(57) Abstract: The invention relates to a system for the central control of devices (20, 52), used during an operation, comprising a 
first control unit (12) for control of the devices. The system is characterised in that a second control unit (14) is provided which is 
connected to the first controller (12) for the exchange of information. The first control unit is emhodied as a closed system for the 
control of at least those devices (20; 22-26) which carry out safety -re la ted functions (safety-relevant devices) and the second control 
unit (14) is embodied as an open system for control of the remaining devices (52) which carry oui non safely-related functions (non 
safety-related devices). The invention further relates to a method for the central control of devices. 

(57) Zusattimenfassung: Die Erfindung beirifft ein System zur zcntralcn Stcucrung von Ein rich tun gen (20, 52), die wahrend ei- 
ncr Operation hcnutzi werden, mil eincr crstcn Steuerungscinhcil (12) zur Stcucrung der Einrichtungen. Das System zcichnet sich 
dadurch aus, dass cine zweitc Slcucrungscinhcit (14) vorgeschen isl, die mil dcrerslcn Slcuerungscinheil (12) /.urn Auslausch von 
Nachrichten vcrhunden isl, und die erste Slcuerungscinheil als geschlosscncs System zur Stcucrung /,u mind est derjenigen Einrichtun- 
gen (20; 22-26) ausgebildci isl, die sichcrhciisrelcvantc Funklioncn (sicherhcitsrclcvantc Einrichlungcn) ausfiihrcn. und die zweitc 
Steuerungscinhcil (14) als offencs System zur Stcucrung der ubrigen Einrichlungcn (52) ausgebildci isl, die nichl-sichcrhcilsrele- 
vanle Funklioncn (nichl-sichcrhcitsrclevanic Einrichlungcn) ausfiihren. Die Erfindung bclriffl fcrncr ein Verfahrcn zur zcntralcn 
Stcucrung von Einrichlungcn. 
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System und Verfahren zu r zentralen Steuerung von Einrinhtunaen . 
die wahrend einer Operation benutzt werden 

Die vorliegende Erf indung betrif ft ein System und ein Verfahren 
zur zentralen Steuerung von Einrichtungen, insbesondere medizi- 
nischen Geraten, die wahrend einer Operation benutzt werden, 
mit einer ersten Steuerungseinheit zur Steuerung der Einrich- 
tungen. 

Aus ergonomischen Griinden ist es wunschenswert , die Steuerung 
aller wahrend einer Operation benotigten Systeme von einer zen- 
tralen Stelle, moglichst aus dem sterilen Bereich, fernsteuern 
bzw. bedienen zu konnen. Eine. solche Steuerung kann z.B. durch 
ein Touch-Screen (mit sterilem Uberzug) oder mit einer Sprach- 
steuerung erfolgen. Zu den gesteuerten Einrichtungen bzw. 
Systemen konnen bspw. endoskopische Gerate gehoren, sowie 0P- 
Tisch, OP-Beleuchturig, Raumbeleuchtung, Klimaanlage, Telefon, 
Pager, Internet, Krankenhaus-Inf ormations system, Verbrauchs- 
material, Verwaltungssystem und andere. 
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Zur Steuerung von medizinischen Geraten ist in der DE 
199 04 090 Al bspw. angegeben, die einzelnen Gerate iiber einen 
CAN-Bus miteinander zu verbinden, wobei die einzelnen Gerate 
als Slaves und ein Leitrechner als Master dienen. Uber diesen 
Leitrechner sind alle Gerate steuerbar. 

Der Nachteil einer sblchen Vernetzung ist insbesondere darin zu 
sehen, daB der Software- und Hardware-Aufwand fur den einzigen 
Leitrechner sehr hoch ist, da er an das zu steuernde Gerat mit 
den hochsten Sicherheitsanf orderungen angepaBt sein muB. Bei zu 
steuernden Geraten, die nicht diese hohen Sicherheitsanf orde- 
rungen erfiillen mussen, geht dadurch moglicherweise Flexibi- 
litat oder die Einfachheit der Bedienung verloren. 

Wird der einzige Leitrechner im Hinblick auf Sicherheitsaspekte 
nach weniger strengen MaBstaben aufgebaut, so bestiinde jedoch 
die Gefahr (z.B. bei einem PC mit Standard-Software wie 
Windows -NT ) , daB sicherheitsrelevante Funktionen durch unzuver- 
lassige Funktionen der nicht-sicherheitsrelevanten Systeme ge- 
fahrdet wiirden. 

Hierbei wird davon ausgegangen, . daB die genannten ; medizinischen 
Gerate in zwei unterschiedliche Gruppen eingeteilt werden 
konnen, namlich einerseits sicherheitsrelevante Systeme wie 
z.B. endoskopische Gerate (Insufflation, Pumpen, HF-Chirurgie 
usw. ) , OP-Tisch-Steuerung etc., also Gerate oder Systeme, die 
bei Ausfall oder Fehler fur den Patienten lebensbedrohlich sein 
konnen, und andererseits nicht-sicherheitsrelevante Systeme, 
wie Bildarchivierung , Materialverwaltungssysteme , Telef onf ern- 
bedienung usw. 
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Vor diesem Hintergrund besteht die Aufgabe der vorliegenden Er- 
f indung darin, ein System bzw. ein Verfahren anzugeben, dem die 
.vorgenannten Nachteile nicht mehr anhaften. Insbesondere soil 
es die Sicherheit beziiglich der Steuerung sicherheitsrelevanter 
Gerate erhohen . 

Diese Aufgabe wird bei dem System der eingangs genannten Art 
dadurch gelost, dafi eine zweite Steuerungseinheit vorgesehen 
ist, die mit der ersten Steuerungseinheit zum Austausch von 
. Nachrichten verbunden ist, und die erste Steuerungseinheit als 
geschlossenes System zur Steuerung zumindest derjenigen Ein- 
richtungen ausgebildet ist, die sicherheit srelevante Funktionen 
( sicherheitsrelevante Einrichtungen) ausfuhren und die zweite 
Steuerungseinheit als offenes System zur Steuerung der iibrigen 
Einrichtungen ausgebildet ist, die nicht-sicherheitsrelevante 
Funktionen (nicht-sicherheitsrelevante Einrichtungen) ausfuh- 
ren. 

Das heiBt mit anderen Worten, daJ3 das erf indungsgemaBe System 
nicht mehr wie bisher einen einzigen Leitrechner, sondern statt 
dessen zwei Steuerungseinheiten einsetzt, . die jeweils unter- 
schiediichen Gruppen von zu steuernden Geraten zugeordnet sind. 
Bei der Zuordnung der zu steuernden Einrichtungen zu den beiden 
Steuerungseinheiten wird davon ausgegangen, daJ3 es grundsatz- 
lich bei einer Operation Einrichtungen zur Ausfiihrung sicher- 
heitsrelevanter Funktionen (bspw. endoskopische GerSte) und 
andererseits Einrichtungen zur Ausfuhrung nicht-sicherheits- 
relevanter Funktionen, wie bspw. Raumbeleuchtung, Klimaanlage 
etc . , gibt . 
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In diesem Zusaminenhang ist unter dem Begriff "geschlossenes 
System" ein System zu verstehen, das keine EinfluBnahme von 
auBen erlaubt. Ein solches System kann weder direkt durch den 
Benutzer noch iiber Internet etc. manipuliert, neu konfiguriert 
etc. werden. Im Gegensatz dazu kann ein offenes System vom 
Benutzer konfiguriert Oder bspw. erganzt werden. Hier sind also 
Eingriffe bzw. Manipulationen von aufien moglich. 

Der Vorteil des erf indungsgemaBen Systems ist u.a. darin zu 
sehen, daB das Vorsehen einer weiteren Steuerungseinheit die 
Sicherheit gegemiber ungewollten Fehlf unktionen erhoht, ohne 
die Flexibilitat des Gesamtsystems hierdurch zu beschranken. 
Dadurch, daB bspw. auf der zweiten Steuerungseinheit Software 
zum Einsatz kommen kann, die nicht die strengen Sicherheits- 
kriterien zur Steuerung sicherheitsrelevanter Einrichtungen er- 
fiillen muB, kann auf Standard-Software zuriickgegrif f en werden, 
so daB einerseits die einmaligen Investitionskosten als auch 
die lauf enden Wartungskosten des Gesamtsystems reduziert wer- 
den. 

Ein weiterer Vorteil des erf indungsgemaBen Systems kann darin 
gesehen werden, daB die erste Steuerungseinheit, die fur die 
Steuerung der sicherheitsrelevanten Einrichtungen zustandig 
ist, als geschlossenes System ausgebildet ist, bei dem sicher- 
gestellt ist, daB samtliche Zugriffe zur Manipulation des 
Betriebssy stems gesperrt sind. Daruber hinaus sind auch 
Manipulationen an den Applikationen zur Steuerung der sicher- 
heitsrelevanten Einrichtungen unmoglich. 

An.dieser Stelle sei jedoch angemerkt, daB auf der ersten Steu- 
erungseinheit auch Applikationen zur Steuerung nicht-sicher- 
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heitsrelevanter Einrichtungen ablaufen konnen, sofern diese 
Applikationen zuvor unter Sicherheitsaspekten getestet wurden. 

Vorteilhaf terweise sind die beiden Steuerungseinheiten jeweils 
Bestandteil eigenstandiger Rechner (PC). Selbstverstandlich ist 
es auch denkbar, die beiden Steuerungseinheiten in einen Rech- 
ner zu integrieren, der iiber zumindest zwei Prozessoren (CPU) 
verfiigt, wobei jeweils eine Steuerungseinheit von einem Pro- 
zessor realisiert wird. 

Bei einem Einsatz eines einzigen Leitrechners ware es wie bis- 
her nicht moglich, bei derartigen Vorgaben die Steuerung der 
nicht-sicherheitsrelevanten Einrichtungen mit der gewunschten 
Einfachheit und Flexibilitat auszufiihren, wobei zudem immer die 
Gefahr bestiinde, daJ3 fehlerhaft programmierte Software fiir die 
nicht-sicherheitsrelevanten Einrichtungen EinfluB nimmt auf die 
Steuerung der sicherheitsrelevanten Einrichtungen. 

In einer bevorzugten Weiterbildung sind die erste Steuerungs- 
einheit und die sicherheitsrelevanten Einrichtungen iiber ein 
BUS-System, vorzugsweise den Karl Storz-Communication-BUS 
(SCB®), miteinander verbunden. Vorzugsweise sind die nicht- 
sicherheitsrelevanten Einrichtungen und die zweite Steuerungs- 
einheit iiber ein weiteres BUS-System miteinander verbunden, wo- 
bei die beiden BUS-Systeme vorzugsweise unterschiedlich sind. 

Diese MaBnahmen fiihren zu einer Vereinf achung des Systems sowie 
zu einer Reduzierung der Gesamtkosten, da das besonders ausge- 
bildete BUS-System fiir sicherheitskritische Funktionen nicht 
zur Steuerung jeder Einrichtung zum Einsatz kommt. Vielmehr 
kann auch auf gangige Standard-BUS-Systeme zuriickgegrif f en wer- 
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den. Das aufwendige sichere BUS-System wird also nur fur die 
Verbindung mit den sicherheitsrelevanten Einrichtungen einge- 
setzt. 

In einer bevorzugten Weiterbildung ist eine Schnittstellen- 
einheit vorgesehen, die einer seits mit den beiden Steuerungs- 
einheiten und andererseits mit Peripheriegeraten verbunden ist 
und jeweils eine der beiden Steuerungseinheiten mit den 
Peripheriegeraten verbindet. Bevorzugt wird die Schnittstellen- 
einheit iiber eine Steuerleitung von der ersten Steuerungsein- 
heit gesteuert. Weiter bevorzugt zahlen zu den Peripherie- 
geraten eine Anzeigeeinrichtung und/oder eine Eingabeeinrich- 
tung, vorzugsweise eine Tastatur und eine Maus. Weiter bevor- 
zugt ist die Anzeigeeinrichtung als Touch-Screen ausgebildet, 
so daB auch Eingaben dariiber moglich sind. 

Diese vorgenannten MaBnahmen fuhren zu dem Vorteil, daB einer- 
seits die Kosten fur das Gesamtsystem reduziert werden und 
andererseits die Bedienbarkeit deutlich vereinf acht wird f da 
die zur Eingabe von Steuerungsbef ehlen oder zur Uberwachung von 
Parametern erf order lichen Peripherieger ate nur einmal vorhanden 
sein miissen. Der Operateur muB folglich nicht mehrere 
Anzeigeeinrichtungen im Blick haben. Ferner gewahrleistet die 
Steuerleitung zwischen Schnittstelleneinheit und erster 
Steuerungseinheit, daB die die wichtigen sicherheitsrelevanten 
Einrichtungen steuernde Steuerungseinheit auch im Falle eines 
Ausfalls bzw. eines Fehlers der zweiten Steuerungseinheit die 
entsprechenden erf orderlichen Funktionen zulaBt und die wichti- 
gen sicherheitsrelevanten Parameter auf dem Touch-Screen dar- 
stellt. Insgesamt wird also eine Erhohung der Sicherheit des 
Systems erreicht. 
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In einer bevorzugten Weiterbildung weist die zweite Steuerungs- 
einheit ein Empf angsmittel auf, um Fehlermeldungen von der 
ersten Steuerungseinheit zu erfassen und auf einem der 
Peripheriegerate darzustellen . 

Diese MaBnahme hat den Vorteil, daJ3 auch im Falle einer Ver- 
bindung der zweiten Steuerungseinheit zur Steuerung nicht 
sicherheitsrelevanter Einrichtungen rnit der Schnittstellen- 
einheit Fehlermeldungen beziiglich sicherheitsrelevanter Ein- 
richtungen dem Benutzer des Systems sofort iibermittelt werden. 
Damit laJ3t sich vermeiden, daJ3 die Darstellung solcher Fehler- 
meldungen erst beim erneuten Umschalten der Verbindung von 
erster Steuerungseinheit zu Peripheriegeraten dem Benutzer ge- 
meldet wird. Dies hat folglich den Vorteil, daJ3 die Sicherheit 
des Gesamtsystems weiter erhoht wird. 

Vorzugsweise gehoren zu den sicherheitsrelevanten Einrichtungen 
endoskopische Gerate, vorzugsweise Insuf f latoren, Pumpen, 
Lichtquellen, Videogerate und bspw. OP-Tisch-Steuerung usw. Zu 
den nicht-sicherheitsrelevanten Einrichtungen gehoren bspw. 
Bildarchivierung, OP-Beleuchtung, Raumbeleuchtung, Telefon, 
Klimaanlage, Pager, Internet, Krankenhaus system, Verbrauchs- 
material, Verwaltungssysteme etc. 

Es ist weiter bevorzugt, die beiden Steuerungseinheiten iiber 
einen Ethernet-BUS (TCP/IP-Protokoll) miteinander zu verbinden, 
da sich dieses BUS-System als zuverlassiges , kostengiinstiges 
System herausgestellt hat. 

In einer bevorzugten Weiterbildung weist die erste Steuerungs- 
einheit ein eingebettetes Betriebssystem, vorzugsweise 
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"embedded Windows NT" , auf, das gegenuber Eingriffen von auJien 
geschiitzt ist. 

Dies heiBt mit anderen Worten, daB das Betriebssystem der 
ersten Steuerungseinheit fester Bestandteil der Einheit ist und 
damit gegenuber Manipulationen geschiitzt ist- Der Benutzer kann 
keine Eingriffe in das Betriebssystem vornehmen, wie dies bspw. 
bei gangigen PCs moglich ware, Damit wird vermieden, daB durch 
beabsichtigte oder unbeabsichtigte Eingriffe in das Betriebs- 
system bestimmte sicherheitsrelevante Funktionen nicht mehr 
oder fehlerhaft ausgeftihrt werden. 

In einer bevorzugten Weiterbildung weist die erste Steuerungs- 
einheit ein Prufmittel auf, das die Verbindung zu der Schnitt- 
stelleneinheit zyklisch priift und eine Fehlermeldung abgibt, 
wenn eine Verbindung nicht vorhanden ist. 

Auch diese Mafinahme fiihrt insgesamt zu einer Steigerung der 
Sicherheit, da das System dem Benutzer sofort mitteilen kann, 
wenn eine Darstellung bzw. eine Einstellung bestimmter Para- 
meter sicherheitsrelevanter Einrichtungen aufgrund einer feh- 
lerhaften Schnittstelleneinheit nicht mehr moglich ist. 

In einer bevorzugten Weiterbildung umfaBt die erste 
Steuerungseinheit eine Sprachsteuerungseinheit , bspw. in Form 
eines Sof twaremoduls . 

Diese MaBnahme hat den Vorteil, daJ3 sich die Bedienung fur den 
Operateur vereinfacht. 
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Die der Erf indung zugrunde liegende Aufgabe wird auch von einem 
Verfahren zur zentralen Steuerung von Einrichtungen, die 
wahrend einer Operation benutzt werden, dadurch gelSst, daJ3 die 
Einrichtungen zur Ausfuhrung sicherheitsrelevanter Funktionen 
von einer ersten Steuerungseinheit und die Einrichtungen zur 
Ausfuhrung nicht-sicherheitsrelevanter Funktionen von einer 
zweiten Steuerungseinheit gesteuert werden. 

Dieses Verfahren ermoglicht die Verwirklichung der bereits im 
Zusammenhang mit dem erf indung sgemaJ3en System genannten Vor- 
teile in gleicher Weise, so daJ3 die Vorteile an dieser Stelle 
nicht nochmals erwahnt werden miissen. 

In einer bevorzugten Weiterbildung koiranunizieren die beiden 
Steuerungseinheiten miteinander , wobei insbesondere die erste 
Steuerungseinheit die zweite Steuerungseinheit auf Fehler uber- 
priift. Es ist weiter bevorzugt, eine Schnittstelleneinheit vor- 
zusehen r die von der ersten Steuernungseinheit gesteuert wird 
und abhangig davon Signale entweder von der ersten oder der 
zweiten Steuerungseinheit an gemeinsame Peripheriegerate wei- 
terleitet. 

Diese MaBnahme hat - wie bereits erwahnt - den Vorteil, die 
Kosten des Systems zu reduzieren und die Ubersichtlichkeit der 
Bedienung und den Bedienungskomf ort insgesamt zu steigern. 

In einer bevorzugten Weiterbildung wird die erste Steuerungs- 
einheit bei einem Fehler der zweiten Steuerungseinheit die 
Schnittstelleneinheit so ansteuern, dafl die Signale der ersten 
Steuerungseinheit an die Peripheriegerate weitergeleitet 
werden . 



WO 02/19957 



PCT/EP01/10189 



10 

Mit anderen Worten heiflt das, daJ3 die erste Steuerungseinheit 
gewahrleistet, daJ3 ein Fehler in der zweiten Steuerungseinheit 
nicht zu einem Ausfall der Verbindung von erster Steuerungs- 
einheit zu Peripheriegeraten fiihren kann. 

In einer bevorzugten Weiterbildung leitet die Schnittstellen- 
einheit die Signale der ersten Steuerungseinheit an die 
Peripheriegerate sofort weiter, wenn eine sicherheitsrelevante 
Funktion ausgefuhrt werden soli. 

Diese MaBnahme hat den Vorteil, daJ3 die wichtigen Funktionen 
auch bei zunachst vorhandener Verbindung zwischen der zweiten 
Steuerungseinheit und den Peripheriegeraten moglich ist. Eine 
Erhohung der Sicherheit ist die Folge. 

In einer bevorzugten Weiterbildung leitet die Schnittstellen- 
einheit nach dem Aktivieren einer nicht-sicherheitsrelevanten 
Funktion die Signale der zweiten Steuerungseinheit an die 
Peripheriegerate erst dann weiter, wenn die sicherheits- 
relevante Funktion vollstandig ausgefuhrt bzw. abgearbeitet 
ist. Das heiBt mit anderen Worten, daJ3 die Ausfuhrung sicher- 
heitsrelevanter Funktionen nicht durch Umschalten der Schnitt- 
stelleneinheit unterbrochen werden kann. Vielmehr wird die 
Ausfuhrung der sicherheitsrelevanten Funktion bis zum Ende aus- 
gefuhrt, und erst dann wird die Schnittstelleneinheit die Ver- 
bindung zwischen zweiter Steuerungseinheit und Peripherie- 
geraten herstellen. 

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich 
aus der Beschreibung und der beiliegenden Zeichnung. 
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Es versteht . sich, daB die vorstehend genannten und die nach- 
stehend noch zu erlauternden Merkmale nicht nur in der jeweils 
angegebenen Kombination, sondern auch in anderen Kombinationen 
oder in Alleinstellung verwendbar sind, ohne den Rahmen der 
vorliegenden Erfindung zu verlassen. 

Die Erfindung wird nun anhand einer Figur naher beschrieben, 
wobei die Figur ein schematisches Blockschaltdiagramm eines er- 
f indungsgemaBen Systems darstellt. 

In der Figur ist ein System zur zentralen Steuerung von Ein- 
richtungen, die wahrend einer. Operation benutzt werden, in Form 
eines Blockschaltdiagramms dargestellt und mit dem Bezugs- 
zeichen 10 gekennzeichnet . Das System 10 umfaBt eine erste 
Rechnereinheit 12 und eine zweite Rechnereinheit 14. Beide 
Rechnereinheiten 12 , 14 sind iiber eine BUS-Verbindung 16, bspw- 
eine Ethernet-BUS-Verbindung f miteinander verbunden, urn Daten 
in Form von Nachrichten auszutauschen. 

Beide Rechnereinheiten 12, 14 sind als medizinische PCs ausge- 
bildet, wobei in der ersten Rechnereinheit 12 ein eingebettetes 
Betriebssystem, vorzugsweise ein "embedded Windows NT "-Be- 
triebssystem, zum Einsatz kommt. Die zweite Rechnereinheit 14 
arbeitet vorzugsweise mit einem iiblichen Windows oder einem 
anderen nicht-eingebetteten Betriebssysteirw 

Die erste Rechnereinheit 12 dient zumindest zur Steuerung von 
medizinischen Einrichtungen, die sicherheitsrelevante bzw. 
sicherheitskritische Funktionen ausfiihren. In der Figur sind 
diese sicherheitsrelevanten Gerate mit dem Bezugszeichen 20 
gekennzeichnet. Beispielhaft sind in der Figur eine Pumpe 22, 



WO 02/19957 



PCT/EP01/10189 



12 

ein Insufflator 24 und ein HF-Generator 26 gezeigt. Diese 
beispielhafte Aufzahlung dreier Gerate ist jedoch nicht 
einschrankend zu verstehen, was in der Figur durch weitere 
Gerate n und m angedeutet wird. Daruber hinaus kann die erste 
Rechnereinheit 12 auch zur Steuerung nicht-sicherheitsrelevan- . 
ter Gerate bei Verwendung entsprechend getesteter Software 
eingesetzt werden. Im folgenden soli jedoch auf diese Moglich- 
keit jedoch nicht weiter eingegangen werden. 

Die Kommunikation zwischen der ersten Rechnereinheit 12 und den 
sicherheitsrelevanten Geraten 20 erfolgt iiber ein BUS-System 
28, das eine sichere Ubertragung von Daten ermoglicht. Bei 
diesem BUS-System 2 8 sind andere Kriterien beziiglich Fehler- 
sicherheit als bspw. bei dem vorgenannten Ethernet-BUS 16 anzu- 
legen. Die Anmelderin bietet ein solches BUS-System bspw. unter 
dem Namen Karl Storz-Communication-BUS (SCB®) an. 

Das System 10 umfaflt ferner eine Umschalteinheit 30. Die 
Umschalteinheit 30 ist eingangsseitig mit der Rechnereinheit 12 
und der Rechnereinheit 14 verbunden, wobei in der Figur 
beispielhaft nur jeweils eine Verbindungsleitung 33, 35 
dargestellt ist. Es versteht sich, daJ3 es sich bei den beiden 
Verbindungen 33 , 35 urn eine Vielzahl von einzelnen Verbindung^- 
leitungen handelt . 

Ausgangsseitig ist die Umschalteinheit 30 mit Peripheriegeraten 
4 0 verbunden, wobei stellvertretend in der Figur ein beriih- 
rungsempf indlicher Monitor 42 - (Touch-Screen genannt) , eine 
Eingabetastatur 44 sowie eine Maus 46 gezeigt sind. Die 
Peripheriegerate 4 0 befinden sich bspw. im direkten Umfeld 
eines Operateurs im Operationssaal , so dafl diese Peripherie- 
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gerate 40 entsprechend angepaJ3t sein miissen. Der Touch-Screen 
4 2 ist bspw. mit einem sterilen Uberzug versehen. 

Die Verbindung der Peripheriegerate 4 0 mit der Umschalteinheit 
30 erfolgt liber entsprechende Leitungen 48, wobei auch hier der 
Einfachheit wegen nur jeweils eine Leitung stellvertretend fur 
eine Vielzahl von Verbindungsleitungen dargestellt ist. 

Die Umschalteinheit 30 hat nun die Aufgabe, die einzelnen 
Peripheriegerate 42 bis 46 mit einer der beiden Rechnerein- 
heiten~ 12, 14 zu verbinden, so daB die Eingabe bzw. die Dar- 
stellung von Daten moglich wird. 

Die Steuerung der Umschalteinheit 3 0 ubernimmt die erste 
Rechnereinheit 12, wobei iiber eine Steuerleitung 38 ent- 
sprechende Steuersignale an die Umschalteinheit '30 ubermittelt 
werden konnen. 

Die zweite Rechnereinheit 14 ist iiber einen optischen BUS 50 
mit Geraten 52 (galvanisch getrennt) verbunden, die nicht- 
sicherheitsrelevante Funktionen ausf iihren . Hierzu gehoren bspw. 
eine Telef on-Fernbedienung^ die Raumbeleuchtung : etc. Die 
Steuerung dieser nicht-sicherheitsrelevanten Gerate wird somit 
von der zweiten Rechnereinheit 14 geleistet. 

Wie bereits erwahnt, ist die erste Rechnereinheit 12 mit einem 
eingebetteten Betriebssystem ausgestattet . Dies soli gewahr- 
leisten, daft Eingriffe bzw. Manipulationen am System von auBen 
nicht moglich sind. Die erste Rechnereinheit 12 ist vielmehr 
als geschlossenes System ausgebildet, auf dem im wesentlichen 
nur Tasks ablaufen, die fur die Steuerung der sicherheits- 
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relevanten Gerate 20 erf orderlich sind. Bei entsprechender 
getesteter Eignung konnen daneben auch Tasks ablaufen, die der 
Steuerung der nicht-sicherheitsrelevanten Gerate 52 dienen. 

Die zweite Rechnereinheit 14 ist dagegen als ublicher medizini- 
scher PC ausgebildet. Im Gegensatz zu der ersten Rechnereinheit 
12 konnen auf der zweiten Rechnereinheit 14 keine Tasks 
ablaufen, die der Steuerung sicherheitsrelevanter Gerate 
dienen. 

Beide Rechnereinheiten 12, 14 liefern Daten iiber die ent- 
sprechenden Leitungen 33, 35 an die Umschalteinheit 30 , wobei 
je nach "Stellung" der Umschalteinheit nur die Daten einer der 
beiden Rechnereinheiten auf dem Touch-Screen 42 dargestellt 
werden. Auch die Eingabe von Daten erfolgt dann nur in diese 
Rechnereinheit. Mochte der Operateur bspw. Funktionen der 
anderen Gruppe von Geraten auswahlen, kann er dies iiber 
entsprechende Eingabe eines Befehls, der entweder direkt von 
der ersten Rechnereinheit 12 oder indirekt iiber die Rechner- 
einheit 14 und den BUS 16 von der ersten Rechnereinheit 12 
empfangen wird. Diese sendet daraufhin ein entsprechendes 
Steuersignal iiber die Steuerleitung 38 aus, was ein Umschalten 
in der Umschalteinheit 30 zur Folge hat. Auf dem Touch-Screen 
42 werden anschlieBend die entsprechenden Daten, Auswahlmeniis 
etc. der ausgewahlten . Gruppe von Geraten dargestellt. 

Im Falle einer Verbindung der zweiten Rechnereinheit 14 mit den 
Peripheriegeraten 40 ist es jedoch erf orderlich, daJ3 jegliche 
Fehlermeldungen, die sicherheitsrelevante Gerate 20 betreffen, 
sofort dem Operateur unabhangig von dem Schaltzustand der Um- 
schalteinheit 30 iiber. den Touch-Screen 42 mitgeteilt werden. In 
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der zweiten Rechnereinheit 14 lauft hierflir eine Task, die 
standig die iiber den BUS 16 von der ersten Rechnereinheit 12 
gelieferten Nachrichten auf Fehlermeldungen iiberpriift. Bei 
Feststellen einer Fehlermeldung sorgt die zweite Rechnereinheit 
14 dafiir, daB auf dem Touch-Screen ein Fenster geoffnet wird, 
in dem diese Fehlermeldung dargestellt wird. 

Eine weitere Auf gabe der ersten Rechnereinheit 12 besteht 
darin, das Vorhandensein der Umschalteinheit 30 zu iiberprufen. 
Sollte die Umschalteinheit 30 bspw. durch Ausfall fiir die erste 
Rechnereinheit 12 nicht mehr zu erkennen sein, muB sie sofort 
eine Fehlermeldung abgeben. Diese Fehlermeldung soil dem 
Operateur signalisieren, daB eine richtige Darstellung und eine 
Eingabe von Daten iiber die Peripheriegerate 40 nicht mehr 
gewahrleistet ist. 

Ferner ist es notwendig f daJ3 die erste Rechnereinheit 12 die 
zweite Rechnereinheit 14 uberpruft und im Fehlerfall die Um- 
schalteinheit 30 sofort in denjenigen Schaltzustand steuert, 
bei dem die erste Rechnereinheit 12 mit den Peripheriegeraten 
4 0 verbunden ist. 

Unter Sicherheitsaspekten ist es zudem erf order lich f daB bei 
der Eingabe eines Befehls zur Umschaltung der Peripheriegerate 
4 0 auf die zweite Rechnereinheit 14 zunachst alle noch nicht 
beendeten Funktionen der sicherheitsrelevanten Gerate 2 0 ausge- 
fiihrt werden mit einer entsprechenden Darstellung der Para- 
meter. Dies soil gewahrleisten f daB die Ausfiihrung dieser 
sicherheitsrelevanten Funktionen nicht zu friih beendet wird. Im 
umgekehrten Fall werden die Peripheriegerate 4 0 jedoch sofort 
mit der ersten Rechnereinheit 12 verbunden, so daB 
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sicherheitsrelevante Funktionen ohne Wartezeit sofort ausge- 
fiihrt werden konnen. 

Es versteht sich, daB die Erfindung nicht nur in der zuvor be- 
schriebenen Ausf Iihrungsf orm, sondern auch in anderen Aus- 
f uhrungsformen realisiert werden kann. Der Umfang solcher 
Anderungen wird alleine durch die angehangten Anspruche defi- 
niert. 
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Patentanspriiche 

System zur zentralen Steuerung von Einrichtungen (20, 52 ), 
die wahrend einer Operation benutzt werden, mit einer 
ersten Steuerungseinheit (12) zur Steuerung der Einrich- 
tungen, dadurch gekennzeichnet , daB eine zweite Steue- 
rungseinheit (14) vorgesehen ist, die mit der ersten 
Steuerungseinheit (12) zum Austausch von Nachrichten ver- 
bunden ist, und die erste Steuerungseinheit als 
geschlossenes System zur Steuerung zumindest derjenigen 
Einrichtungen (20; 22-26) ausgebildet ist, die sicher- 
heitsrelevante Funktionen ( sicherheitsrelevante Einrich- 
tungen) ausfuhren, und die zweite Steuerungseinheit (14) 
als offenes System zur Steuerung der iibrigen Einrichtungen 
(52) ausgebildet ist, die nicht-sicherheitsrelevante Funk- 
tionen (nicht-sicherheitsrelevante Einrichtungen) ausfiih- 
ren. 

System nach Anspruch 1, dadurch gekennzeichnet, daB die 
erste Steuerungseinheit (12) und die sicherheitsrelevanten 
Einrichtungen (20) iiber ein Bussystem (28) miteinander 
verbunden sind. 

System nach Anspruch 1 oder 2, dadurch gekennzeichnet, daB 
die nicht-sicherheitsrelevanten Einrichtungen (52) und die 
zweite Steuerungseinheit (14) iiber ein weiteres Bussystem 
(50) miteinander verbunden sind. 

System nach Anspruch 2 und 3, dadurch gekennzeichnet, daB 
die beiden Bussysteme (28, 50) unterschiedlich sind. 
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5. System nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet , daB eine Schnittstelleneinheit (30) vorge- 
sehen ist, die einerseits mit den beiden Steuerungsein- 
heiten (12, 14) und andererseits mit Peripheriegeraten 
(40) verbunden ist und jeweils eine der beiden Steuerungs- 
einheiten (12, 14) mit den Peripheriegeraten (40) ver- 
bindet. 

6. System nach Anspruch 5, dadurch gekennzeichnet, daJ3 die 
Schnittstelleneinheit (30) iiber eine Steuerleitung (38) 
von der ersten Steuerungseinheit (12) gesteuert ist. 

7- System nach Anspruch 5 oder 6, dadurch gekennzeichnet, daJ3 
zu den Peripheriegeraten (40) eine Anzeigeeinrichtung (42) 
und/oder eine Eingabeeinrichtung (44, 46), vorzugsweise 
eine Tastatur und eine Maus, zahlt. 

8. System nach Anspruch 7, dadurch gekennzeichnet, daB die 
Anzeigeeinrichtung (42) als Touch-Screen ausgebildet ist, 
so daB auch Eingaben dariiber moglich sind. 

9. System nach Anspruch 5, 6, 1 oder 8, dadurch gekennzeich- 
net, daJ3 die zweite Steuerungseinheit (14) ein Empfangs- 
mittel aufweist, um Fehlermeldungen von der ersten 
Steuerungseinheit (12) zu erfassen und auf einem der 
Peripheriegerate (40) darzustellen . 

10". System nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, daB die sicherheitsrelevanten Einrich- 
tungen (20) endoskopische Gerate, vorzugsweise Insufflato- 
ren f Pumpen, Lichtguellen, Videogerate usw. umfassen. 
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11. System nach einem der vorhergehenden Anspriiche f dadurch 
gekennzeichnet, daB die nicht-sicherheitsrelevanten Ein- 
richtungen (52) Bildarchivierung, OP-Beleuchtung, 
Raumbeleuchtung, Telefon, Klimaanlage, Pager, Internet , 
Krankenhaussystem, Verbrauchsmaterial, Verwaltungssysteme 
etc. umfassen konnen. 

12. System nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, daB die beiden Steuerungseinheiten (12 f 
14) iiber einen Ethernet-Bus (16) miteinander verbunden 
sind. 

13. System nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, daB die erste Steuerungseinheit (12) ein 
eingebettetes Betriebssystem aufweist, das gegeniiber Ein- 
griffen von aufien geschiitzt ist. 

14. System nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, daB die erste Steuerungseinheit ( 12 ) eine 
Sprachsteuerungseinheit aufweist. 

15. System nach einem der vorhergehenden Anspriiche, dadurch 
gekennzeichnet, daB die beiden Steuerungseinheiten (12, 
14) als eine Rechnereinheit mit zwei Prozessoren (CPU) 
ausgebildet sind. 

16. System . nach Anspruch 5, dadurch gekennzeichnet, daB die 
erste Steuerungseinheit ein Priifmittel aufweist, das die 
Verbindung zu der Schnittstelleneinheit (30) zyklisch 
pruft und eine Fehlermeldung abgibt, wenn eine Verbindung 
nicht vorhanden ist.. 



WO 02/19957 



PCT/EP01/10J89 



20 

17. Verfahren zur zentralen Steuerung von Einrichtungen, die 
wahrend einer Operation benutzt werden, dadurch gekenn- 
zeichnet, daJ3 die Einrichtungen zur Ausfuhrung sicher- 
heitsrelevanter Funktionen von einer ersten Steuerungs- 
einheit (12) und die Einrichtungen zur Ausfiihrung nicht- 
sicherheitsrelevanter Funktionen von einer zweiten 
Steuerungseinheit (14) gesteuert werden. 

18. Verfahren nach Anspruch 17 , dadurch gekennzeichnet, daJ3 
die beiden Steuerungseinheiten (12, 14) miteinander koiranu- 
nizieren, wobei insbesondere die erste Steuerungseinheit 
die zweite Steuerungseinheit auf Fehler iiberpruft. 

19. Verfahren nach Anspruch 17 oder 18, dadurch gekennzeich- 
net, daJ3 eine Schnittstelleneinheit (30) bereitgestellt 
wird, die von der ersten Steuerungseinheit (12) gesteuert 
wird und abhangig davon Signale entweder von der ersten 
oder der zweiten Steuerungseinheit an gemeinsame Periphe- 
riegerate (40) weiterleitet . 

20. Verfahren nach Anspruch 18 und 19, dadurch gekennzeichnet, 
daJ3 die erste Steuerungseinheit (12) bei einem Fehler der 
zweiten Steuerungseinheit (14) die Schnittstelleneinheit 
(30) so ansteuert, daB die Signale der ersten Steuerungs- 
einheit (12) an die Peripheriegerate (40) weitergeleitet 
werden . 

21. Verfahren nach Anspruch 19, dadurch gekennzeichnet, daJ3 
die Schnittstelleneinheit (30) die Signale der ersten 
Steuerungseinheit (12) an die Peripheriegerate (40) sofort 
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weiterleitet, wenn eine sicherheitsrelevante Funktion aus- 
gefiihrt werden soli. 

22. Verfahren nach Anspruch 19, dadurch gekennzeichnet , daJ3 
nach dem Aktivieren einer nicht-sicherheitsrelevanten 
Funktion die Schnittstelleneinheit (30) die Signale der 
zweiten Steuerungseinheit (14) an die Peripheriegerate 
(40) erst dann weiterleitet, wenn die sicherheitsrelevante 
Funktion vollstandig ausgefiihrt ist. 
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safety-related devices). The invention further relates to a method for the central control of devices. 
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